🥇1. CheckFlow: auditoría integral rápida y gratuita del tráfico de la red interna utilizando Flowmon

Bienvenidos a nuestro próximo mini curso. En esta ocasión hablaremos de nuestro nuevo servicio. comprobar el flujo. ¿Lo que es? De hecho, este es sólo un nombre comercial para una auditoría gratuita del tráfico de la red (tanto interna como externa). La auditoría en sí se lleva a cabo utilizando una herramienta tan maravillosa como flujo mon, que absolutamente cualquier empresa puede utilizar, de forma gratuita, durante 30 días. Pero te aseguro que después de las primeras horas de prueba, comenzarás a recibir información valiosa sobre tu red. Además, esta información será valiosa como para administradores de redY para guardias de seguridad. Bueno, analicemos qué es esta información y cuál es su valor (al final del artículo, como es habitual, hay un vídeo tutorial).

Aquí hagamos una pequeña digresión. Estoy seguro de que mucha gente ahora está pensando: "¿En qué se diferencia esto de Chequeo de seguridad de Check Point? Nuestros suscriptores probablemente sepan qué es esto (nos esforzamos mucho en esto) :) No se apresure a sacar conclusiones, a medida que avanza la lección todo encajará.

Qué puede comprobar un administrador de red mediante esta auditoría:

Análisis de tráfico de red — cómo se cargan los canales, qué protocolos se utilizan, qué servidores o usuarios consumen la mayor cantidad de tráfico.
Retrasos y pérdidas de la red. — tiempo medio de respuesta de sus servicios, presencia de pérdidas en todos sus canales (la capacidad de encontrar un cuello de botella).
Análisis de tráfico de usuarios — análisis exhaustivo del tráfico de usuarios. Volúmenes de tráfico, aplicaciones utilizadas, problemas al trabajar con servicios corporativos.
Evaluación del rendimiento de la aplicación — identificar la causa de los problemas en el funcionamiento de las aplicaciones corporativas (retrasos en la red, tiempo de respuesta de los servicios, bases de datos, aplicaciones).
Monitoreo de SLA — detecta e informa automáticamente retrasos y pérdidas críticas al utilizar sus aplicaciones web públicas en función del tráfico real.
Buscar anomalías en la red — Suplantación de DNS/DHCP, bucles, servidores DHCP falsos, tráfico DNS/SMTP anómalo y mucho más.
Problemas con las configuraciones. — detección de tráfico de usuarios o servidores ilegítimos, que puede indicar configuraciones incorrectas de conmutadores o cortafuegos.
Reporte comprensivo — un informe detallado sobre el estado de su infraestructura de TI, que le permitirá planificar el trabajo o comprar equipos adicionales.

Qué puede comprobar un especialista en seguridad de la información:

actividad viral — detecta tráfico viral dentro de la red, incluido malware desconocido (día 0), basándose en un análisis de comportamiento.
Distribución de ransomware — la capacidad de detectar ransomware, incluso si se propaga entre ordenadores vecinos sin salir de su propio segmento.
Actividad anormal — tráfico anormal de usuarios, servidores, aplicaciones, túneles ICMP/DNS. Identificar amenazas reales o potenciales.
Ataques de red — escaneo de puertos, ataques de fuerza bruta, DoS, DDoS, interceptación de tráfico (MITM).
Fuga de datos corporativos — detección de descargas (o cargas) anormales de datos corporativos desde los servidores de archivos de la empresa.
Dispositivos no autorizados — detección de dispositivos ilegítimos conectados a la red corporativa (determinando el fabricante y el sistema operativo).
Aplicaciones no deseadas — uso de aplicaciones prohibidas dentro de la red (Bittorent, TeamViewer, VPN, Anonymizers, etc.).
Criptomineros y Botnets — comprobar la red en busca de dispositivos infectados que se conecten a servidores C&C conocidos.

Informes

Según los resultados de la auditoría, podrá ver todos los análisis en los paneles de Flowmon o en informes en PDF. A continuación se muestran algunos ejemplos.

Análisis de tráfico generales

Panel personalizado

Actividad anormal

Dispositivos detectados

Esquema de prueba típico

Escenario 1 - una oficina

La característica clave es que puede analizar el tráfico tanto externo como interno que no es analizado por los dispositivos de protección perimetral de la red (NGFW, IPS, DPI, etc.).

Escenario 2 - varias oficinas

Video tutorial

Resumen

La auditoría CheckFlow es una excelente oportunidad para los administradores de TI/IS:

Identifique problemas actuales y potenciales en su infraestructura de TI;
Detectar problemas con la seguridad de la información y la efectividad de las medidas de seguridad existentes;
Identificar el problema clave en el funcionamiento de las aplicaciones empresariales (parte de red, parte de servidor, software) y los responsables de solucionarlo;
Reducir significativamente el tiempo para solucionar problemas en la infraestructura de TI;
Justificar la necesidad de ampliar canales, capacidad de servidores o compra adicional de equipos de protección.

También recomiendo leer nuestro artículo anterior: 9 problemas de red típicos que se pueden detectar mediante el análisis NetFlow (usando Flowmon como ejemplo).
Si está interesado en este tema, estad atentos (Telegram, Facebook, VK, Blog de soluciones TS, Yandex.Zen).

Solo los usuarios registrados pueden participar en la encuesta. Registrarsepor favor

¿Utiliza analizadores NetFlow/sFlow/jFlow/IPFIX?

55,6%Sí5
11,1%No, pero planeo usar1
33,3%No3

9 usuarios votaron. 1 usuario se abstuvo.

Fuente: habr.com

1. CheckFlow: auditoría integral rápida y gratuita del tráfico de la red interna utilizando Flowmon